5.2-5644 Update 5

[Exormiste]

Version: 5.2-5644 Update 5

(2016/02/19)

Fixed Issues

1. Updated Firewall filter policy to fix a security vulnerability caused by stack-based buffer overflow (CVE-2015-7547). This fix may impact read/write performance on the following models by no more than 15%, for which Synology is working on an enhancement in the future release.
   • 16-series: DS216se
   • 15-series: DS115j
   • 14-series: EDS14, DS114, DS214se, RS214, DS414slim
   • 13-series: DS213j, DS213air, DS213, DS413j
   • 12-series: DS112, DS112+, DS112j, DS212, DS212j, DS212+, RS212, RS812
   • 11-series: DS111, DS211, DS211+, DS211j, DS411, DS411slim, DS411j, RS411
   • 10-series: DS110j, DS210j, DS410j

[gaetan.cambier]

Update useless pour moi, je passe mon tour

Modifié le 20 février 2016 par gaetan.cambier

[Exormiste]

MàJ dure 30 sec, pas de redémarrage.

[Mic13710]

Ça craint un peu pour certains modèles. 15% en lecture/écriture.

Modifié le 20 février 2016 par Mic13710

[StéphanH]

Bonjour,

Cela réduit les performances en lecture / écriture jusqu'à 15% ???

C'est énorme !!!

Quelqu'un a testé ?

(Rédigé sous Tapatalk)

[Mic13710]

il y a 1 minute, StéphanH a dit :

Bonjour,

Cela réduit les performances en lecture / écriture jusqu'à 15% ???

C'est énorme !!!

Quelqu'un a testé ?

(Rédigé sous Tapatalk)

Pour tes deux modèles, c'est en tout cas ce qu'ils donnent. Reste à savoir si le vulnérabilité est plus importante que la perte de performance.

[CoolRaoul]

Il y a 1 heure, Mic13710 a dit :

Reste à savoir si le vulnérabilité est plus importante que la perte de performance.

Comme d'habitude, s'agit d'une Nème bug de type buffer overflow: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547

Pour provoquer le risque de "remote code exécution" faudrait pouvoir injecter une réponse DNS appropriée  ("possibly execute arbitrary code via a crafted DNS response", bien noter l'emploi du conditionnel ici) et s'arranger pour que l'application se déroute sur du code binaire fourni à la volée dans la réponse (ça fait beaucoup de "si" n'est-ce pas?)

Pas de raison de s'affoler d'autant plus que je ne pense pas qu'il existe un exploit démontré.

Modifié le 20 février 2016 par CoolRaoul

[Einsteinium]

Ouai pas de soucis sur 413J, pour les performances je m'en tape, je suis deja en dossier full crypté donc cela ne m'affectera pas des masses...

[oliviervdb]

Moi ma question c'est pourquoi certains Syno son affectés (par la possible baisse de performance) et pas d'autres? Il devraient tous l'etre? Il y a des séries "j" des "+" (pas bcp), des " ". Je ne vois pas le liens entre ceux qui sont affectés et ceux qui ne le sont pas... bizzare. Mais bon c'est pas non plus critique comme question.

Je viens de le faire sur un DS111 (= affecté) et je vois pas trop de difference. Tant mieux. Me reste a voir si sur mon DS411j ca sera pas plus visible. Je fais ca des que j'ai 1 ou 2j de recule avec le D111.

 

[Mic13710]

il y a une heure, CoolRaoul a dit :

Comme d'habitude, s'agit d'une Nème bug de type buffer overflow: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547

Pour provoquer le risque de "remote code exécution" faudrait pouvoir injecter une réponse DNS appropriée  ("possibly execute arbitrary code via a crafted DNS response", bien noter l'emploi du conditionnel ici) et s'arranger pour que l'application se déroute sur du code binaire fourni à la volée dans la réponse (ça fait beaucoup de "si" n'est-ce pas?)

Pas de raison de s'affoler d'autant plus que je ne pense pas qu'il existe un exploit démontré.

Merci CoolRaoul pour ces explications. En effet, il n'y a pas de raison de s'affoler. Même si mes NAS ne sont pas touchés, je vais faire comme d'hab : attendre quelques temps avant de lancer l'opération. Je vais peut-être même attendre le prochain update car vu le commentaire de Synology, le 6 devrait rapidement pointer le bout de son nez.

 

il y a 12 minutes, oliviervdb a dit :

Moi ma question c'est pourquoi certains Syno son affectés (par la possible baisse de performance) et pas d'autres? Il devraient tous l'etre? Il y a des séries "j" des "+" (pas bcp), des " ". Je ne vois pas le liens entre ceux qui sont affectés et ceux qui ne le sont pas... bizzare. Mais bon c'est pas non plus critique comme question.

Peut-être un problème sur certains CPU.

[wolfware]

Attention : n'appliquez pas cette update !  c'est de la merde !!! sur mes deux Syno :

- DS411J : inaccessible depuis la mise à jour !

- DS214 Play : Performance divisé par 4 !!! (11Mo / S max !!) 

Mais à quoi ils pensent chez Synology !!!! 

Modifié le 20 février 2016 par wolfware

[Mic13710]

il y a 6 minutes, wolfware a dit :

Attention : n'appliquez pas cette update !  c'est de la merde !!! sur mes deux Syno :

- DS411J : inaccessible depuis la mise à jour !

- DS214 Play : Performance divisé par 4 !!! (11Mo / S max !!) 

Mais à quoi ils pensent chez Synology !!!! 

C'est pour éviter ce genre de pb que j'attends suffisamment de retours positifs avant d'agir. Surtout après avoir lu la mise en garde de Synology, mieux vaut attendre des jours meilleurs.

Comme il s'agit d'un simple update, vous pouvez en principe revenir à la version précédente en faisant un double reset du NAS, ce qui va réinitialiser le DSM. Avant cela, vous sauvegardez la configuration pour ne pas avoir à tout réinstaller. Il y aura sans doute quelques réglages à reprendre par la suite, notamment le pare-feu. Vous refaite ensuite les installations successives de la 5.2 jusqu'à l'update 4.

[wolfware]

1H Apres le redémarrage, l'interface du DS411J est enfin accessible....

[Pat95]

Fait sur DS-212+. Pas de soucis.

[gaetan.cambier]

Ça craint un peu pour certains modèles. 15% en lecture/écriture.

15% sur des modele j et se

C magnifique

[Mic13710]

Il y a 1 heure, gaetan.cambier a dit :

15% sur des modele j et se

C magnifique

C'est sûr. Déjà qu'ils ne cartonnent pas en temps normal, il va maintenant falloir sortir les pagaies ! C'est bô le progrès.

[gaetan.cambier]

Je comprend pas le problème de perf : le workaround est très simple : https://googleonlinesecurity.blogspot.be/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.html?m=1

[oliviervdb]

J'ai fais l'update sur mon DS411j, et je remarque rien de spécial (tjs accessible et débit similaire). En meme temps je plafonne deja avant à  14Mo/s avec ce Syno (copie fichier de PC win vers ce DS pour faire un test). En temps normal je ne l'utilise que comme destination de back-up et rien d'autre. Donc le débit m'importe peu (du moment que ca tombe qd meme pas trop bas...)

[wolfware]

Le débit sur un DS411j est plutôt de 35Mo/s !

Envoyé de mon iPhone en utilisant Tapatalk

[Fenrir]

DS710+ et DS712+, aucun soucis (je suis encore à 110mo/s -> switch 1gbits au taquet)

[ran1965]

au secours, suite à cette mise à jour effectuée "par habitude" plus rien ne vas

je n'ai meme plus accès au serveur de mise à jour sinology

les paquets sont inaccessibles , bref , la cata totale

qui peut m'aider svp?? merci

DS209 "triché" en DS2010j

Modifié le 7 avril 2016 par ran1965

[Fenrir]

Il y a 3 heures, ran1965 a dit :

au secours, suite à cette mise à jour effectuée "par habitude" plus rien ne vas

je n'ai meme plus accès au serveur de mise à jour sinology

les paquets sont inaccessibles , bref , la cata totale

qui peut m'aider svp?? merci

DS209 "triché" en DS2010j

Vérifie que la passerelle et le DNS sont bien renseignés sur ton nas

[ran1965]

la passerelle est renseignée, je ne me souviens plus si le dns était renseigné mais je ne pense pas, j'utilise le modem du FAI

[Fenrir]

il y a 22 minutes, ran1965 a dit :

je ne me souviens plus si le dns était renseigné mais je ne pense pas

dans ce cas renseigne le

[ran1965]

je n'utilise pas le modem du syno, et honnêtement je ne sais pas ce qu'il faut mettre 

c'est ma box3 qui gère ça (et on a pas accès à la partie admin)